Ogni giorno, confermiamo la nostra identità: attraverso documenti, codici, chiavi fisiche o tessere magnetiche (“qualcosa che si ha”). Nella infosfera (l’ambiente digitale delle informazioni), invece, utilizziamo PIN, password e codici (“qualcosa che si conosce”). Questi metodi presentano però dei limiti di sicurezza, come la possibilità di furto o smarrimento.

Da qui nasce la necessità di un approccio più affidabile, basato su “qualcosa che si è”: la biometria. Questa disciplina, che sfrutta le nostre caratteristiche fisiche e comportamentali uniche, offre una soluzione innovativa per la sicurezza digitale, combinando affidabilità e praticità

Cos’è la biometria

La biometria è la disciplina scientifica che studia le caratteristiche fisiche e comportamentali uniche di un individuo per identificarlo in modo univoco. Queste caratteristiche, come l’impronta digitale, il volto, l’iride o la voce, vengono analizzate da sistemi informatici per verificare l’identità di una persona e consentirle, ad esempio, di sbloccare il proprio smartphone, accedere a un edificio o effettuare pagamenti sicuri. Esistono due principali tipologie di biometria:

Biometria fisiologica: misura caratteristiche intrinseche, come l’impronta digitale.

Biometria comportamentale: si basa su azioni compiute dall’individuo, come la firma autografa

Questa tecnologia sta trasformando la sicurezza dell’identificazione personale. Sebbene esista da decenni, solo di recente è entrata nella vita quotidiana, migliorando l’accesso a luoghi, servizi e dispositivi in settori come finanza, sanità, commercio, istruzione e telecomunicazioni. La diffusione capillare ha ridotto molte delle preoccupazioni iniziali legate alla privacy. I dati biometrici, grazie alla loro unicità e difficoltà di contraffazione, risultano semplici da usare e molto precisi.

Il riconoscimento biometrico è impiegato da organizzazioni pubbliche o private per autorizzare l’accesso a strutture, informazioni e servizi. I metodi di autenticazione si basano su tre principi: qualcosa che l’utente possiede, conosce o è.

Qualcosa che l’utente Possiede

Dispositivi come memory card (immagazzinano dati), smart card (immagazzinano e processano dati) e chiavette USB contengono una chiave di accesso che consente operazioni specifiche (es. carta Postamat). Tuttavia, poiché il sistema autentica l’oggetto e non il possessore, questi strumenti presentano rischi legati a possibilità di furto, prestito o clonazione.

Qualcosa che l’utente Conosce

Password, PIN e risposte a domande preconfezionate sono facili da memorizzare, ma altrettanto facili da indovinare. Altri rischi, legati a password e PIN includono furto, spionaggio e attacchi hacker, oltre alla possibilità di poterle dimenticare.

Qualcosa che l’utente È

Il riconoscimento tramite caratteristiche biometriche, come voce iride e impronte digitali, è una delle forme più antiche di identificazione. Elementi biometrici, spesso rappresentati anche nella cultura pop (Star Trek: The Next Generation), sfruttano l’unicità delle caratteristiche personali per l’autenticazione.
Le principali caratteristiche biometriche includono:

• Volto: analisi di caratteristiche specifiche difficili da alterare.
• Voce: identificazione tramite impronte vocali, spesso usata in contesti telefonici.
• Impronte digitali: ampiamente impiegate in ambito forense.
• Firma autografa: autenticazione documentale basata su grafia e dinamiche di firma.
• Retina e iride: scansioni ad alta affidabilità utilizzate in settori di sicurezza avanzata.

Tipi di Biometria

Tra i tipi di biometria troviamo: scrittura a mano, impronte vocali, riconoscimento facciale, impronte digitali e scansioni di retina e iride. Tecnologie come la biometria della firma analizzano parametri dinamici come la pressione e velocità di scrittura.
Alcuni metodi, come le impronte digitali, sono tradizionalmente più affidabili del riconoscimento facciale, ma i recenti progressi tecnologici stanno riducendo il divario. È importante notare che alcune tecnologie sono più invasive di altre, come lo è stato il movimento delle labbra, oggi obsoleto.
L’obiettivo della ricerca biometrica è migliorare l’affidabilità e la precisione, riducendo al minimo errori come falsi positivi (riconoscere impostori) e falsi negativi (rifiutare utenti legittimi).

Cenni Storici

Nel 1882, Alphonse Bertillon sviluppò il primo metodo biometrico scientifico per identificare i criminali, noto come “bertillonage“. Si basava su descrizioni e misurazioni fisiche dettagliate, ma con il tempo si rivelò inefficace poiché ci si rese conto che individui diversi potevano avere misure antropometriche simili.
Successivamente, nel 1892, Francis Galton, studioso di medicina, statistica e antropometria (cugino di Charles Darwin), criticò il sistema di Bertillon e introdusse il concetto di “minuzia” (dettagli caratteristici delle impronte digitali), proponendo un primo sistema, seppur elementare, di classificazione delle impronte.
Solo nel 1893, l’Home Office britannico riconobbe ufficialmente l’unicità delle impronte digitali, affermando che non esistono due individui con la stessa impronta. In conseguenza di questo, numerosi dipartimenti di polizia iniziarono a utilizzare le impronte digitali per la schedatura dei criminali.

COMPONENTI DI UN SISTEMA BIOMETRICO

Un’applicazione biometrica si compone generalmente di tre parti principali:

1. Database: Contiene i dati biometrici, ovvero le informazioni fisiologiche dei soggetti da autenticare.
2. Dispositivi e procedure di input: Comprendono i lettori biometrici, i sistemi di caricamento delle informazioni e altri dispositivi che consentono la connessione dell’utente con il sistema di validazione.
3. Procedure di output e interfacce grafiche: Rappresentano il front-end dell’intero sistema, fungendo da interfaccia utente per l’interazione e il feedback.

Questa infrastruttura è generalmente utilizzata per due scopi: autenticazione o identificazione.

• Autenticazione: Consente di verificare se un individuo è realmente chi dichiara di essere.
• Identificazione: Determina se una persona può essere associata a una delle identità già presenti nel database.

Come Funziona

Il funzionamento di un sistema biometrico si compone di diversi processi chiave: acquisizione, elaborazione e verifica o identificazione dell’identità. A monte di queste fasi ed indipendentemente dalla caratteristica biologica che si adotta, i sistemi biometrici, per poter funzionare, hanno bisogno di una fase di registrazione iniziale. Durante questa fase iniziale detta “Enrollment” vengono acquisite le istanze della caratteristica biometrica. In tal modo l’utente si registra sul sistema biometrico e potrà quindi essere riconosciuto dal sistema stesso nei successivi accessi.

Il processo inizia con la raccolta di una caratteristica biometrica, come un’impronta digitale, una scansione del volto o dell’iride, tramite un sensore dedicato. Per poter elaborare il dato analogico acquisito, è necessario convertirlo in formato digitale. Questa operazione è affidata ad un convertitore Analogico-Digitale (A/D). La fase di conversione è cruciale per standardizzare i dati ed eliminare eventuali distorsioni derivanti dall’acquisizione.
Il passo successivo è l’elaborazione del dato precedentemente digitalizzato. Questo dato viene analizzato da sofisticati algoritmi, che ne estraggono le caratteristiche discriminanti in grado di garantire un’elevata accuratezza e sicurezza dei risultati. Questi algoritmi permettono di rappresentare il dato biometrico in un formato compatto e riconoscibile, minimizzando così falsi positivi e falsi negativi.

Il processo di autenticazione biometrica può essere schematizzato come segue:

Verifica dell’Identità

Nel processo di verifica, il modello biometrico estratto viene confrontato con un modello precedentemente caricato nel database (fase di Enrollment) e associato all’identità dichiarata dall’utente. Il confronto è effettuato da un elaboratore che utilizza algoritmi di matching. Il risultato è di tipo booleano: vero se il dato corrisponde al modello (presente nel DB), falso in caso contrario. Questo approccio, noto come autenticazione 1:1 (uno ad uno), è utilizzato, ad esempio, nei sistemi di login biometrico come gli Smartphone.

Identificazione

Nella modalità di identificazione, il modello biometrico estratto viene confrontato con tutti i modelli presenti nella base di dati. Questo processo, noto come ricerca 1:N (uno a molti), identifica un individuo oppure stabilisce che non è presente nel sistema. L’elaboratore utilizza algoritmi ottimizzati per ridurre il tempo di confronto e mantenere un’elevata accuratezza, soprattutto nei database di grandi dimensioni.

Scansione dell’Iride

It’s a simple idea: You are your authenticator. Your voiceprint unlocks the door of your house. Your retinal scan lets you in the corporate offices (Secrets & Lies, Digital Security in a Neyworked World, Bruce Schneieer).

Sam Altman, conosciuto come il “padre dell’IA” e CEO di OpenAI, l’azienda che ha sviluppato ChatGPT ha recentemente lanciato la sua moneta virtuale, il Worldcoin. Con questa nuova valuta digitale, Altman non solo punta a rivoluzionare il modello economico, ma cerca anche di innovare il sistema di identificazione personale. Uno degli elementi distintivi di Worldcoin è il World ID, un sistema di identificazione biometrica univoco basato sulla scansione dell’iride.

Ma come funziona la scansione dell’iride? L’iride è la parte colorata che circonda la pupilla e rappresenta una struttura con un pattern incredibilmente complesso, tanto da essere considerato una sorta di impronta digitale ed essere utilizzata come chiave di autenticazione biometrica.

Questa zona dell’occhio umano possiede circa 300 caratteristiche misurabili ed è tra le più peculiari di ogni individuo. A differenza di altre caratteristiche fisiche, l’iride non cambia nel tempo e non può essere modificata artificialmente. La probabilità di trovare due iridi identiche è estremamente bassa, stimata in una su 10^78. Persino le iridi destra e sinistra della stessa persona sono diverse. L’elevato numero di punti caratteristici rende la scansione dell’iride più sicura rispetto a quella della retina. Inoltre, grazie alla sua posizione più esterna rispetto alla retina, l’iride può essere analizzata con metodi meno invasivi e tecnicamente più semplici.

In pratica, un sensore (una camera ad alta risoluzione) posizionato a pochi centimetri dall’occhio fotografa i margini visibili, effettuando scansioni successive delineando i contorni dell’iride come una corona circolare. L’area viene suddivisa in piccoli segmenti che vengono analizzati e decodificati. Il risultato è una rappresentazione matematica dell’iride, la codifica binaria del modello biometrico è una stringa univoca di 512 byte, noto come Iris Code. In questo modo il processo di matching, ovvero il confronto dei dati biometrici, tra due iridi viene semplificato grazie alla conversione del template dell’iride in una stringa di cifre binarie. Invece di confrontare direttamente le immagini, il sistema analizza le due stringhe: bit a bit, verificando la corrispondenza tra i singoli bit.

Vantaggi scansione dell’Iride

• È visibile ma ben protetta
• È una caratteristica invariante nel tempo ed univoca.
• L’immagine dell’Iride è acquisita senza contatto diretto
• Acquisizione: lunghezze d’onda infrarosso

Contro

• Superficie Iride molto piccola
• L’acquisizione richiede una distanza inferiore ai 10 m per garantire una risoluzione sufficiente
• Camera ad alta risoluzione costi elevati

La biometria ha aperto nuove porte alla sicurezza, ma solleva anche interrogativi complessi su temi attuali come la privacy e l’etica nell’uso delle identità digitali. Il rapido progresso tecnologico pone come sfida quella di affrontare queste problematiche con responsabilità. La biometria come rivoluzione tecnologica e come opportunità per costruire un futuro più sicuro e inclusivo, dove alle tecnologie deve essere necessariamente richiesto di integrarsi in maniera armoniosa con il concetto di ‘algoretica’, rispettando i valori umani e le diversità individuali. Obiettivo che già grandi aziende, come CISCO con la “Rome Call for AI Ethics“, stanno perseguendo con determinazione. Del resto, come ci insegna Spider-Man: “Da un grande potere derivano grandi responsabilità”. Quindi resta fondamentale che la biometria sia sviluppata e utilizzata con un forte impegno verso l’etica e il rispetto dei diritti individuali, affinché possa realmente contribuire a un mondo più sicuro e giusto per tutti

Fonti:

Biometrics: A Very Short Introduction, Michael Fairhurst.

Secrets & Lies, Digital Security in a Networked World, Bruce Schneieer.

Abate, A., Barra, S., Gallo, L., & Narducci, F. (2016, December). Skipsom:
Skewness & kurtosis of iris pixels in self organizing maps for iris
recognition on mobile devices. In 2016 23rd international conference on
pattern recognition (ICPR) (pp. 155-159). IEEE

L'articolo Biometria: come funziona la chiave del futuro digitale proviene da il blog della sicurezza informatica.

La console di gioco russa sarà basata sul processore Elbrus. Lo si è appreso dal verbale della riunione del relativo gruppo di lavoro, a cui ha fatto riferimento Anton Gorelkin, vicepresidente del comitato per la politica dell’informazione della Duma di Stato.

La console è stata sviluppata dal Ministero dell’Industria e del Commercio per conto del Presidente. Oltre al processore, il dispositivo sarà dotato di altri componenti elettronici di fabbricazione russa. Due sviluppi nazionali vengono presi in considerazione come sistemi operativi: Aurora e Alt Linux.

La Fondazione Skolkovo creerà un modello di business e determinerà i vantaggi competitivi della futura console.

“Spero che i miei colleghi prendano sul serio questo compito e trovino qualcosa di veramente rivoluzionario. Dopotutto, è ovvio a tutti: i processori Elbrus non sono ancora in quella fase di sviluppo per garantire una concorrenza paritaria con PS5 e Xbox, il che significa che la soluzione deve essere non standard”, ha scritto Anton Gorelkin.

Ha anche osservato che la console russa non è stata creata per trasferire centinaia di vecchi giochi. Secondo lui, la piattaforma dovrebbe servire principalmente allo scopo di promuovere e rendere popolari i videogiochi domestici, espandendo il loro pubblico oltre i personal computer e i giochi mobili.

L'articolo La Russia entra nel mondo delle console: Aurora e Alt Linux come OS! proviene da il blog della sicurezza informatica.

Questo è l’ultimo episodio della serie “La Storia Di Conti Ransomware” che ci porterà finalmente al declino del gruppo e al suo impatto sull’attuale panorama ransomware. Nell’articolo precedente abbiamo affrontato le operazioni effettuate dalle forze dell’ordine (principalmente l’FBI) e da alcuni vigilanti che non hanno gradito le posizioni politiche di Conti. Conti non è morto, è ancora vivo.

The Moon – Dostoevsky’s De(a)mons

Il “Conti leak” ha mostrato al mondo quanto possa essere “normale” un gruppo RaaS di queste dimensioni con la stessa organizzazione di un’azienda “legale”. Ma tra i messaggi pubblicati ne è presente uno che non abbiamo analizzato nell’articolo precedente, l’utente chiamato “frances” ha fatto una dichiarazione sul futuro del gruppo il 22 febbraio 2022

@all
Friends!

I sincerely apologize for having to ignore your questions the last few days. About the boss, Silver, salaries, and everything else. I was forced to because I simply had nothing to say to you. I was dragging my feet, screwing around with the salary as best I could, hoping that the boss would show up and give us clarity on our next steps. But there is no boss, and the situation around us is not getting any softer, and pulling the cat by the balls further does not make sense.

We have a difficult situation, too much attention to the company from outside resulted in the fact that the boss has apparently decided to lay low. There have been many leaks, post-New Year’s receptions, and many other circumstances that incline us all to take some time off and wait for the situation to calm down.

The reserve money that was set aside for emergencies and urgent team needs was not even enough to cover the last paycheck. There is no boss, no clarity or certainty about what we will do in the future, no money either. We hope that the boss will appear and the company will continue to work, but in the meantime, on behalf of the company I apologize to all of you and ask for patience. All balances on wages will be paid, the only question is when.

Now I will ask all of you to write to me in person: (ideally on Jabber:))
* Up-to-date backup contact for communication (preferably register a fresh, uncontaminated public Jabber account
* Briefly your job responsibilities, projects, PL [programming language] (for coders). Who did what, literally in a nutshell

In the near future, we, with those team leaders, who stayed in line – will think how to restart all the work processes, where to find money for salary payments and with renewed vigor to run all our working projects. As soon as there is any news about payments, reorganization and getting back to work – I will contact everyone. In the meantime, I have to ask all of you to take 2-3 months off. We will try to get back to work as soon as possible. From you all, please be concerned about your personal safety! Clean up the working systems, change your accounts on the forums, VPNs, if necessary, phones and PCs. Your security is first and foremost your responsibility! To yourself, to your loved ones and to your team too!

Please do not ask about the boss in a private message – I will not say anything new to anyone, because I simply do not know. Once again, I apologize to my friends, I’m not excited about all these events, we will try to fix the situation. Those who do not want to move on with us – we naturally understand. Those who will wait – 2-3 months off, engaged in personal life and enjoy the freedom 🙂

All working rockets and internal Jabbers will soon be off, further communication – only on the private Jabbers. Peace be with you all!

Il messaggio è stato pubblicato 3 giorni prima della loro dichiarazione pro-russia, le fughe di notizie menzionate riguardano tutte il playbook di Conti realizzato da un ex affiliato. Non è chiaro quali siano “le attenzioni per l’azienda dall’esterno” (“much attention to the company from outside”), ma probabilmente gli arresti degli sviluppatori di Conti hanno messo in ansia il “Boss” che ha deciso di rimanere completamente fuori dai radar anche all’interno della suo stesso gruppo.

La dichiarazione, conoscendo tutto ciò che è accaduto successivamente, lascia qualche interrogativo. “Frances” ha ammesso che non ci sono più soldi per gli stipendi ma il totale dei loro wallet (noti) conteneva 2 BLN$ [1], il gruppo aveva una media di 2 attacchi al giorno e sicuramente non gli mancava il personale per le operazioni. “Nel prossimo futuro […] penseremo a come riavviare tutti i processi di lavoro” (“In the near future […] we will think how to restart all the work processes”) è una frase interessante, se il gruppo si trovasse in una situazione di stallo perché dovrebbe rivendicare pubblicamente la vendetta in caso di attacchi digitali all’interno dei confini della Russia pochi giorni dopo? La risposta più plausibile è che Conti avesse un sottoinsieme di membri (“Gruppo ContiLocker”) che era il fulcro di tutto e il “Boss” probabilmente ne era parte.

Purtroppo, questa dichiarazione rimane tutt’ora un mistero ma ha evidenziato come i gruppi non abbiano alcuna intenzione di uscire di scena. Il leak delle chat avvenne e Conti scelse il silenzio mentre il proprio ransomware veniva utilizzato contro la Russia.

Il 17 aprile 2022, più di 20 istituzioni del governo costaricano furono colpite dal ransomware Conti. Tra le istituzioni colpite figurano il Ministero delle Finanze, delle Telecomunicazioni, della Sicurezza Sociale e il provider di servizi Internet statale. I danni sono stati superiori a quelli di un tradizionale attacco ransomware: defacement di pagine web, furto di e-mail, account Twitter ufficiali compromessi e fuga di terabyte di dati sensibili.

La prima istituzione a essere compromessa è stata proprio il Ministero delle Finanze (il ransomware è stato diffuso il 17 aprile, ma le indagini hanno rivelato che la penetrazione è iniziata l’11 aprile) attraverso credenziali VPN compromesse ottenute tramite infostealer, Conti ha esfiltrato 672 GB di dati il 15 mentre si stava ancora muovendo lateralmente nelle reti.

Le pessime condizioni di sicurezza del governo costaricano hanno permesso un accesso facile e veloce ad altre reti secondarie dove è stato possibile rubare credenziali e dati permettendo di continuare gli attacchi. Una delle prime conseguenze è stata la chiusura dei computer responsabili dell’amministrazione fiscale.

Il 18 Aprile il governo costaricano ha annunciato la chiusura della piattaforma dei contribuenti “a causa di problemi tecnici”, il 19 Conti pubblicò un nuovo post sul DLS chiedendo un riscatto di $10 MLN.

Il Ministero della Scienza, dell’Innovazione, della Tecnologia e delle Telecomunicazioni è stata la seconda vittima. Gli attacchi continueranno fino a quando il governo del Costa Rica non sarà pronto a pagare il gruppo, Conti è ora più rumoroso che mai. Un altro post sul DLS del RaaS annunciò l’inizo del leak dei dati in caso il governo non confermerà l’attacco ai propri contribuenti, il giorno dopo mantenne la promessa.

Gli attacchi continuarono ed il governo del Costa Rica ha richiesto l’aiuto di Stati Uniti, Microsoft ed Israele. Il danno fu più ampio del previsto dove buona parte della nazione fu ricattata da un singolo RaaS. Il 21 Conti aggiornò il DLS con altre vittime.

L’ultimo messaggio prevedeva uno sconto del 35% per il riscatto finale e chiedeva ai “businessman” costaricani di convincere il loro governo a pagare.

Alcune fonti non verificate hanno rivelato che il riscatto reale fu inferiore a $1 MLN, ma non ci fu modo di confermare tali informazioni. Nessuno pagò il riscatto ed i dati furono finalmente divulgati, in una settimana il governo nazionale è stato interrotto. Alcune delle risorse compromesse sono state messe offline fino a giugno 2022 e l’8 maggio è stata dichiarata l’emergenza nazionale.

En este momento se realiza revisión en la seguridad perimetral sobre el Ransomware Conti, para verificar y prevenir posibles ataques a nivel de la CCSS.
— CCSSdeCostaRica (@CCSSdeCostaRica) April 19, 2022

In risposta Conti ha dichiarato che la Costa Rica era solo una “versione demo” e che stavano preparando un team più grande per questo tipo di attacchi. Altri tentativi di attacco sono stati individuati all’interno delle istituzioni costaricane, Conti ha anche voluto sottolineare di avere insider e di essere a conoscenza di ogni azione intrapresa dal blue team incaricato nel processo di incident response. Tutti i leak sono stati effettuati da un affiliato chiamato “UNC1756”.

Durante questo attacco su larga scala, i “dipendenti” di Conti si sono trasferiti in nuove realtà non appena hanno ricevuto il messaggio inviato da “frances”. Conti stava cambiando pelle, passando da brand centralizzato a gruppi distribuiti semi-autonomi.

Possiamo dividere i nuovi collettivi in due sottoinsiemi: autonomi e semi-autonomi.

I gruppi autonomi sono stati fondati da zero, non utilizzano il ransomware Conti (per lo meno all’inizio) ed il loro lavoro prevedeva l’estorsione esclusivamente tramite l’esfiltrazione dei dati. Alcuni di questi gruppi hanno sviluppato il proprio ransomware in futuro e rimangono ancora attivi. Questo sottoinsieme comprende :

• BlackBasta
• BlackByte
• Karakurt
• BazarCall

I gruppi semi-autonomi sono formati da ex membri di Conti che volevano continuare a crittografare le reti. Probabilmente una buona parte degli sviluppatori si è spostata verso questo tipo di collettivi. Questi gruppi hanno implementato il modello di business RaaS fin dall’inizio e Conti era ancora al vertice della gestione. Qui abbiamo gruppi famosi come:

• HIVE
• BlackCat/ALPHV
• HelloKitty
• Quantum
• AvosLocker

L’obiettivo era mantenere il potere di Conti, ma agendo pubblicamente sotto altri nomi. Mentre il governo costaricano subiva i danni di Conti, questi gruppi hanno iniziato a emergere sotto i radar grazie al rumore fatto nell’Aprile 2022. Nel background, come i deamon, Conti stava preparando una nuova ondata di gruppi ransomware.

The Tower – Remember Me When I’m Gone

Il 6 maggio 2022 il Dipartimento di Stato americano ha annunciato una ricompensa fino a $5 MLN per tutti coloro che condivideranno informazioni sulle persone dietro il ransomware Conti. Il 19 Conti ha iniziò a chiudere lentamente la propria infrastruttura a partire dai pannelli di amministrazione, dai pannelli di negoziazione e smise di pubblicare post sul proprio Tor DLS.

A quanto pare gli attacchi in Costa Rica erano una sorta di scusa per ottenere visibilità per l’ultima volta prima di lasciare il palcoscenico. Conti smise di attaccare aziende e l’ultima settimana di giugno 2022 il DLS è stato chiuso completamente.

Conti sparì, ma alcune persone decisero di scavare in profondità cercando di svelare l’identità che si cela dietro al RaaS. Un esempio importante è stato “pancak3”, un security researcher che ha creato un intero format chiamato “Who’s Behind The Keyboard”, in cui ha doxato diversi operatori Ransomware. Tutto veniva postato sul suo Substack (da cui è stato bannato) e uno di questi includeva “van” uno degli sviluppatori di Conti (il post originale può essere trovato attraverso la wayback machine).
Van

Consigliamo la lettura del post originale in quanto contiene screenshoot del desktop di Van, ottenuto tramite un implant Agent Tesla nel 2021. Dopo un mese la Reward For Justice (RFJ) statunitense ha pubblicato il volto di “Target”, un altro membro dei Conti (che abbiamo già incontrato nell’episodio precedente) ed il nickname di altri 4 membri, richiedendo informazioni per identificarli dichiarandoli come responsabili di attività malevole contro infrastrutture critiche negli Stati Uniti.

The U.S. Government reveals the face of a Conti associate for the first time! We’re trying to put a name with the face!

To the guy in the photo: Imagine how many cool hats you could buy with $10 million dollars!

Write to us via our Tor-based tip line: t.co/WvkI416g4W pic.twitter.com/28BgYXYRy2
— Rewards for Justice (@RFJ_USA) August 11, 2022

Moreover the FBI added some data about the Conti activity, 1000 victims have been identified which have paid a total of $150 MLN to the RaaS. In conclusion the US government said they were looking for people with “different nationalities and citizenship”. Their investigations highlighted that even if the group was linked to Russia, parts of their members are scattered worldwide.

L’FBI ha inoltre aggiunto alcuni dati sull’attività di Conti: sono state identificate 1000 vittime che hanno pagato un totale di $150 MLN al RaaS. In conclusione, il governo statunitense ha dichiarato di essere alla ricerca di persone di “diverse nazionalità e cittadinanza”. Le indagini hanno evidenziato che, anche se il gruppo è legato alla Russia, i suoi membri sono sparsi in tutto il mondo.

Dragos (società di sicurezza OT) ha analizzato l’andamento delle organizzazioni industriali vittime di attacchi ransomware; dopo la chiusura ufficiale di Conti è stata rilevata una diminuzione degli attacchi. Dragos sostiene che Conti fu responsabile del 28% degli attacchi nel settore industriale e il suo ritiro è una causa parziale della rapida diminuzione, ma mette in guardia da nuovi gruppi come BlackBasta che si sono concentrati su questo tipo di vittimologia.

Dragos (OT Security firm) analyzed the trend of industrial organizations victim of ransomware attacks, when Conti officially closed a decrease of attacks has been detected. Dragos claims that Conti was responsible of 28% attacks within the industrial sector and their retirement is a partial cause of the quick decrease but warning about new groups like BlackBasta (linked with) which have been highly focused on this type of victimology.

Da quel momento, Conti scomparve. Il loro attacco al governo costaricano fu l’ultima cerimonia prima di chiudere le loro attività.

The Devil – Where is Conti now?

Come detto nell’introduzione dell’articolo, l’eredità di Conti è ancora viva. Il RaaS ha radici nelle origini dell’attuale fenomenologia ransomware e le capacità di guidarne anche il suo futuro. La loro influenza si è ripercossa anche sulle vittime, che nel 2022 si sono rifiutate di pagare il riscatto chiesto da questi gruppi. Le ragioni sono molteplici, ma una può essere collegata direttamente a Conti: pagare questo tipo di gruppi (soprattutto in seguito alle loro posizioni politiche) è troppo rischioso, poiché l’FSB e altre entità russe sono sottoposte a sanzioni. Dopo la serie di leak, il legame tra queste entità e Conti fu troppo evidente.

Il passaggio a nuove unità più piccole è anche una tattica utilizzata dagli attaccanti per aggirare le sanzioni (come ha fatto Evil Corp con LockBit) e dissipare tutte le attenzioni che hanno attirato nel 2022. Scopriamo le nuove forme di Conti!

BlackBasta è stato il gruppo con la vittimologia più vicina a quella di Conti: settore manifatturiero, edile ed industriale. Non solo per quanto riguarda le TTPs e le vittime, ma anche per i profitti è abbastanza simile al gruppo originale, Elliptic ha fatto un’ottima analisi dei wallet di BlackBasta dove sono stati ricevuti più di $100 MLN dai pagamenti dei riscatti (329 raccolti per questa analisi).
Fonte: Elliptic
Il gruppo è ancora attivo con un alto grado di adattabilità e abilità di social engineering che gli consentono di ottenere l’accesso iniziale in combinazione con vulnerabilità come CVE-2024-1709 (ConnectWise).

Quantum, Diavol, Karakurt e Royal sono alcuni ceppi “minori” che si ritiene siano utilizzati dagli stessi operatori, una delle prove sono i flussi di denaro provenienti da questi ceppi che puntano tutti a Stern (uno degli amministratori di Conti).
Fonte: Chainalysis

Karakurt è stata una delle nuove estensioni di Conti più prolifiche, recentemente (nel 2024) uno dei loro negoziatori è stato arrestato scoprendo pagamenti che vanno da $250.000 a $1.3 MLN ricevuti dalle aziende interessate. Non ci sono dubbi sul collegamento tra Karakurt e Conti, l’abbonamento alle VPS è stato pagato dai wallet di Conti rivelati dopo le fughe di notizie nel 2022.

Ransomware Royal, ora ribattezzato BlackSuit, è ancora attivo rappresentando un’enorme minaccia per il settore sanitario e la sua supply chain. Nel 2022 Royal è stato uno dei ceppi di ransomware più prolifici, guadagnando notorietà all’interno dell’ecosistema.

Quantum è uno dei casi più insoliti nella storia dei ransomware, secondo il rapporto DFIR l’attacco effettuato da questo gruppo (dall’accesso iniziale alla crittografia) è durato meno di 4 ore! Questo ceppo ha cambiato spesso nome durante la sua esistenza: XingLocker, AstroLocker e QuantumLocker. Una delle chat di negoziazione è trapelata online e mostra una richiesta di riscatto di $3.8 MLN. Il gruppo non è mai stato attivo come altri RaaS, quindi è comprendere se sia ancora attivo o è sia stato ribattezzato.

Meow (MeowCorp, MeowLeaks) è una famiglia basata interamente sul codice sorgente di Conti ed apparso nella seconda metà del 2022. La vera svolta del gruppo si è verificata nel 2024, quando sono stati attribuiti al gruppo 80 attacchi (circa); nella fascia temporale Luglio-Settembre il gruppo è stato responsabile di 68 vittime con un enorme picco rispetto al suo passato. Nel 2023 è stato rilasciato un decriptatore gratuito per MeowCorp dopo la fuga delle chiavi private su un forum non specificato. Al momento il gruppo è passato a operazioni senza crittografia, concentrandosi interamente sull’esfiltrazione dei dati con successiva estorsione.

3AM, emerso nel 2023 dopo che dei professionisti hanno scoperto che il ransomware del gruppo veniva utilizzato come opzione di backup quando LockBit encryptor veniva bloccato da AV/EDR, è un altro gruppo con una forte connessione con Conti. Gli strumenti e TTPs utilizzati da 3AM sono state associate all’infrastruttura di precedenti attacchi effettuati da Conti (soprattutto durante l’anno 2022).

Akira è uno dei RaaS con il DLS più bello di tutta la scena, apparso per la prima volta nel Marzo 2023, è stato in grado di crescere molto velocemente chiedendo riscatti da $200.000 a $4 MLN.
Akira DLS

Il gruppo condivide le stesse caratteristiche di Conti (ad esempio, le stesse estensioni ignorate, la stessa crittografia ChaCha) e parte del loro codice si sovrappone al codice sorgente di Conti trapelato. Artic Wolf ha fatto una ottima analisi della blockchain sulle transazioni effettuate dal portafoglio Akira: l’intero importo dei pagamenti viene inviato agli indirizzi Conti prima di raggiungere l’affiliato. Questo flusso di denaro è lo stesso utilizzato sia da Diavol che da Karakurt.
Fonte: Artic Wolf

Il gruppo è ancora a caccia e sta attualmente operando con una nuova sofisticata famiglia di ransomware dopo un periodo di campagne di sola infiltrazione dei dati. Nel 2024 il gruppo ha raggiunto una quota di mercato del 17% sul totale degli attacchi ransomware. Secondo l’FBI, dalla sua prima apparizione all’inizio del 2024, Akira è stato in grado di raccogliere $42 MLN da 250 vittime.

Ritornando alle indagini su Conti condotta dal governo federale degli Stati Uniti, il 7 Settembre 2023 sono state emesse nuove accuse contro Conti e la campagna TrickBot, in cui si possono trovare i nomi reali di alcuni nickname presentati nelle chat leakate nel 2022, come “Mango” e “Defender”. Il 9 Settembre 2023 il governo britannico ha annunciato una nuova serie di sanzioni (in collaborazione con gli Stati Uniti) a 7 cittadini russi coinvolti nel gruppo Conti.

La storia del ransomware Conti è finalmente giunta al termine, ma ne sono iniziata delle nuove pronte per essere esplorate. Al momento, come abbiamo mostrato, Conti è più una struttura organizzativa decentralizzata che un gruppo ransomware. Per questo motivo è importante capire il background di questo enorme gruppo, la storia del ransomware è relativamente recente ma abbiamo dimostrato quanto velocemente possa cambiare. Tracciare le origini dei gruppi di ransomware in relazione al loro riflesso attuale è solo un altro modo per comprendere la minaccia che deve essere mescolata con l’aspetto tecnico di questa fenomenologia per avere una preparazione efficace per difendersi da essi. Conti ha insegnato a buona parte del panorama attuale come eseguire ransomware e altre attività laterali, ma ha anche mostrato al mondo come questo tipo di nemico possa essere contrastato con una combinazione di forze dell’ordine e forze indipendenti… [strong]to be CONTInued(?)[/strong]

• Link al primo episodio
• Link al secondo episodio

L'articolo La Storia Di Conti Ransomware – L’Ultima Cerimonia (Episodio Finale) proviene da il blog della sicurezza informatica.

Face it, we’ve all been there, in a crowded workshop building something, and horror of horrors, things are going to get a little… windy. Do you try to drop it quietly and hope nobody says the rhyme, do you bolt for the door, or can you tough it out and hold it in? Never fear, because [Roman_2798881] has got your back, with the FartMaster 3000.

No doubt born of urgent necessity, it’s a discreet wall-mounted fixture for a shop vac line which allows a casual activation of the shopvac as if some sawdust needed removing, and backing up for a safe disposal of any noxious clouds under cover of the vacuum’s whirring.

We have to admit, this one gave us something of a chuckle when we saw it in the Printables feed, but on closer inspection it’s a real device that by our observation could have been useful in more than one hackerspace of our acquaintance. There’s a square funnel in front of a piece of ducting, with a rotary valve to divert the vacuum in an appropriate direction to conceal the evidence.

Then simply turn it back to straight through, vac your pretend sawdust, and nobody’s the wiser. Unless of course, you also integrated a fart-o-meter.

hackaday.com/2025/01/07/toot-b…

[Nicholas Carlini] found some extra time on his hands over the holiday, so he decide to do something with “entirely no purpose.” The result: 84,688 regular expressions that can play chess using a 2-ply minmax strategy. No kidding. We think we can do some heavy-duty regular expressions, but this is a whole other level.

As you might expect, the code to play is extremely simple as it just runs the board through series of regular expressions that implement the game logic. Of course, that doesn’t count the thousands of strings containing the regular expressions.

How does this work? Luckily, [Nicholas] explains it in some detail. The trick isn’t making a chess engine. Instead, he creates a “branch-free, conditional-execution, single-instruction multiple-data CPU.” Once you have a CPU, of course it is easy to play chess. Well, relatively easy, anyway.

The computer’s stack and registers are all in a long string, perfect for evaluation by a regular expression. From there, the rest is pretty easy. Sure, you can’t have loops and conditionals can’t branch. You can, however, fork a thread into two parts. Pretty amazing.

Programming the machine must be pretty hard, right? Well, no. There’s also a sort-of language that looks a lot like Python that can compile code for the CPU. For example:
def fib():
a = 1
b = 2
for _ in range(10):
next = a + b
a = b
b = next
Then you “only” have to write the chess engine. It isn’t fast, but that really isn’t the point.

Of course, chess doesn’t have to be that hard. The “assembler” reminds us a bit of our universal cross assembler.

hackaday.com/2025/01/07/regula…

##

La regione del Sahel, che ospita oltre 300 milioni di persone tra Burkina Faso, Camerun, Chad, Gambia, Guinea, Mali, Mauritania, Niger, Nigeria, Senegal, sta affrontando una crisi dovuta a insicurezza cronica, shock climatici, conflitti, colpi di stato e all'ascesa di reti criminali e terroristiche.
Circa 40 milioni di persone hanno bisogno di assistenza umanitaria, in continuo aumento negli anni.
La sicurezza della regione è una preoccupazione dal 2011, con l'intervento militare guidato dalla NATO in Libia che ha portato a una continua destabilizzazione. I gruppi armati ora controllano ampie fasce della Libia, che è diventata un centro di traffico.
Inoltre vi è stato un crescente risentimento verso l'influenza e il ruolo della Francia nella regione, con alcuni paesi del Sahel che hanno scelto di allontanarsi dalla presenza militare francese. Il tutto conferma un profondo malcontento verso decenni di sfruttamento, povertà e dominio straniero. Emerge quindi l'esigenza di trovare soluzioni di governance più locali e inclusive.

Il traffico di medicinali è spesso mortale, con 500.000 africani subsahariani uccisi ogni anno.
Il carburante è un'altra merce trafficata da gruppi terroristici, reti criminali e milizie locali.
Per combattere i traffici e altre minacce in evoluzione, è stata costituita una piattaforma di coordinamento internazionale che riunisce 27 organizzazioni e paesi con il supporto dell'ONU: la Forza congiunta del Gruppo dei cinque per il Sahel (G5 Sahel). L'assetto militare di questa organizzazione è penalizzato per il dispiegamento limitato e l'equipaggiamento militare limitato e contrasta con difficoltà l'aumento dei rischi militari dovuti ai militanti islamici armati. Questi problemi logistici ostacolano le operazioni antiterrorismo efficaci e sono limitati da fattori climatici come la pioggia. Le forze jihadiste sono state in grado di espandere le loro azioni e lanciare nuovi attacchi nella regione del Sahel, destabilizzando le comunità locali, causando conflitti tra le forze militari e generando panico. Comunque, la cooperazione transfrontaliera e le misure repressive contro la corruzione sono in aumento, con le autorità nazionali che hanno sequestrato tonnellate di merci di contrabbando e misure giudiziarie che smantellano le reti.

L'Ufficio delle Nazioni Unite contro la droga e il crimine (UNODC) è un attore di primo piano negli sforzi per rafforzare la sicurezza fermando i tentativi di traffico. I nuovi rapporti dell'UNODC mappano gli attori, i facilitatori, le rotte e l'ambito del traffico, rivelano fili conduttori tra instabilità e caos e forniscono raccomandazioni per l'azione. La corruzione è uno dei fili conduttori e l'azione giudiziaria e il sistema carcerario devono essere impegnati per combattere la criminalità organizzata.

Nel 2020, ad esempio, KAFO II, un'operazione UNODC-INTERPOL, ha bloccato con successo una rotta di rifornimento terroristica diretta al Sahel, ed è stato sequestrato una grande quantità di bottino di contrabbando: 50 armi da fuoco, 40.593 candelotti di dinamite, 6.162 proiettili, 1.473 chilogrammi di cannabis e khat, 2.263 scatole di droga di contrabbando e 60.000 litri di carburante.

INTERPOL ha assistito i paesi del Sahel nel migliorare la gestione e il controllo delle frontiere. Ciò include l'installazione di sistemi di controllo e la formazione del personale di frontiera sull'utilizzo delle banche dati INTERPOL. Nel contrasto al traffico di esseri umani INTERPOL ha coordinato operazioni congiunte per smantellare le reti di traffico di esseri umani nella regione. Ad esempio, l'Operazione Epervier nel 2018 ha portato all'arresto di 40 trafficanti e al salvataggio di oltre 500 vittime. Riguardo alla formazione e sviluppo delle capacità INTERPOL organizza regolarmente corsi di formazione per le forze di polizia dei paesi del Sahel, concentrandosi su tematiche come investigazioni, intelligence e gestione delle frontiere.

#sahel #INTERPOL #UNODC
@Politica interna, europea e internazionale

Perché la conoscenza come servizio ridefinirà Internet

L’evoluzione di Internet rimodella, l’intelligenza artificiale sconvolge, emerge la conoscenza come servizio

TikTok dovrebbe perdere il suo grande caso della Corte Suprema

Il caso TikTok v. Garland riguarda la possibilità per il governo degli Stati Uniti di vietare TikTok, di proprietà di ByteDance, per motivi di sicurezza nazionale, bilanciando le preoccupazioni sulla privacy e manipolazione dei contenuti con i diritti garantiti dal Primo Emendamento. La Corte Suprema dovrà stabilire se limitare la proprietà straniera delle piattaforme mediatiche sia costituzionale, in un contesto di forte sostegno bipartisan alla legge.

L’ Europa, l’ Italia, i satelliti e Elon Musk

Un articolo che fa un po’ di chiarezza in mezzo al marasma di tifosi di una e dell’ altra parte. Vogliamo veramente affidare le nostre comunicazioni critiche a un privato, che sia esso Elon Musk o il signor Bonaventura?

Microsoft rivela un piano a sorpresa per spendere 80 miliardi di dollari in data center AI

Microsoft punta a spendere 80 miliardi di dollari in data center AI nella prima metà del 2025 La metà dell’importo sarà destinata agli Stati Uniti La qualificazione dei cittadini è riconosciuta come cruciale

Incontriamo l’uomo che mantiene viva la speranza e i flipper di 70 anni fa

La passione di Steve Young ha dato vita a un’azienda che mantiene in funzione tavoli storici.

Microsoft vorrebbe davvero che tu smettessi di usare Windows 10 quest’anno

Secondo Microsoft, il 2025 è “l’anno dell’aggiornamento dei PC Windows 11”

Microsoft Bing mostra una pagina fuorviante simile a Google per le ricerche “Google”

Quando gli utenti cercano “Google”, Microsoft Bing visualizza quella che viene classificata come una pagina di ricerca fuorviante in stile Google, facendo sembrare che si trovino sul motore di ricerca concorrente.

Gli hacker cinesi hanno violato anche le reti Charter e Windstream

Altre aziende statunitensi sono state aggiunte all’elenco delle aziende di telecomunicazioni hackerate in un’ondata di violazioni da parte di un gruppo terroristico sostenuto dallo Stato cinese, identificato come Salt Typhoon.

I dispositivi Moxa vulnerabili espongono le reti industriali agli attacchi informatici

I due problemi di sicurezza consentono ad aggressori remoti di ottenere privilegi di root su dispositivi vulnerabili e di eseguire comandi arbitrari, che potrebbero portare all’esecuzione di codice arbitrario.

L’India propone norme sui dati digitali con sanzioni severe e requisiti di sicurezza informatica

Il governo indiano ha pubblicato una bozza delle Norme sulla protezione dei dati personali digitali (DPDP) per la consultazione pubblica.

La guida semplice e completa di Giovanni Ziccardi al RANSOMWARE: commento riga per riga al documento ACN/CSIRT 2024

In questo video commentiamo insieme un documento molto interessante che riguarda il ransomware elaborato da ACN e CSIRT Italia e reso pubblico nel dicembre 2024

Il caso delle estensioni Chrome compromesse: analisi tecnica, impatti e mitigazione

La recente compromissione di 35 estensioni per Chrome ha esposto milioni di utenti al furto di dati sensibili. Un attacco che rappresenta un chiaro monito sulla vulnerabilità dei software di uso comune e sulla necessità di una maggiore attenzione alla sicurezza nel ciclo di sviluppo e distribuzione

Un gruppo antipirateria vuole estendere lo “scudo antipirateria” italiano per proteggere i film

Il sistema di blocco ‘Piracy Shield’ italiano è stato originariamente inventato per proteggere i flussi sportivi in ​​diretta sensibili al tempo dai pirati. Un anno dopo, i titolari dei diritti stanno spingendo per un aggiornamento che copra una gamma più ampia di contenuti, inclusi i film. Questa mossa, che dovrebbe essere discussa in una prossima consultazione, mira ad espandere gradualmente il sistema di blocco ‘next-gen’

Ecco cosa abbiamo scoperto sugli hacker cinesi del “Typhoon” che si preparano alla guerra

Tra i rischi per la sicurezza informatica che gli Stati Uniti devono affrontare oggi, pochi sono più grandi delle potenziali capacità di sabotaggio poste dagli hacker sostenuti dalla Cina, che alti funzionari della sicurezza nazionale degli Stati Uniti hanno descritto come una “minaccia epocale”.

Google sta formando un nuovo team per sviluppare un’intelligenza artificiale in grado di simulare il mondo fisico

Tim Brooks, uno dei co-responsabili del generatore video di OpenAI, Sora , che a ottobre è passato al laboratorio di ricerca sull’intelligenza artificiale di Google , Google DeepMind, guiderà il nuovo team, ha annunciato in un post su X. Sarà parte di Google DeepMind.

Giorgia Meloni in visita a Mar-a-Lago, serve anche per consegnare telecomunicazioni di difesa agli Stati Uniti e Musk

Si legge SpaceX, ma è presumibilmente una cattiva interpretazione dell’accordo. E’ molto più plausibile che tale servizio venga erogato da Starlink, sempre di proprietà di Elon Musk.

I dati mostrano che il rimbalzo di Bluesky dovuto all’esodo di X sta rallentando

La crescita esponenziale del social network e concorrente X Bluesky ha subito un rallentamento a dicembre negli Stati Uniti, dopo essere passata da oltre 9 milioni di utenti a settembre a oltre 20 milioni di utenti a novembre.

…

informapirata.it/2025/01/06/in…

informapirata

2025-01-06 20:10:15

La rassegna della sera del 6 gennaio 2025: conoscenza as service, TikTok, Melon Musk e altro ancora

informapirata.it/2025/01/06/in…

Informapirata – La rassegna della sera del 6 gennaio 2025

^{informapirata}

Recensione : No Strange Chiedilo a Te Stesso
No Strange e il loro nuovo album Chiedilo a Te Stesso: un inno alla creatività dell'epoca d'oro del garage e della psychedelia italiana. Scopri la magia! @Musica Agorà

iyezine.com/no-strange-chiedil…

No Strange Chiedilo a Te Stesso

No Strange Chiedilo a Te Stesso - No Strange e il loro nuovo album Chiedilo a Te Stesso: un inno alla creatività dell'epoca d'oro del garage e della psychedelia italiana. Scopri la magia! - No Strange Chiedilo a Te Stesso

^{Il Santo (In Your Eyes ezine)}

EROE DI CARTA

Vorrei avere il dono di viaggiare nel tempo
Un tappeto volante per il passato
E artigli,
più lunghi e decisi
Per riprendermi qualcosa cui dar nome non so
Qualcosa, che solamente il cuore
Isole genuine e pure che anima ignota
sicuro mi rubò

Nel tempo, così pensavo
osservando il fantasma di greto
d'un rivo antico disseccato
Combatterei a capo di mille guerrieri
se fosse servito a farti voltare
Donna mia
dallo sguardo che avvolge
Fuoco che consuma
e addolcisce il mio giorno
Saper di avere più cose in comune
Un senso di strano e un brandello di pelle
Tutti i guai in attesa di volo
Qualcuno - meno male
col passaporto già scaduto

E mi risvegliai sereno
dopo averti in qualche modo vissuto
Eri un bianconero di fumetto
E nel ricordo di acqua pura e fresca
la voce d’eremita
di un ruscello stretto in quota
S'accende la Grigna d'arancione
saluta la luce d'occaso
C'è chi ne resta ipnotizzato
Io non ci casco, e sarà pure bello e che
Però Io
Io Rivoglio solo te

Un altro anno nasce; e sarà già duro e vecchio
Oltre il passo delle luci e dei bicchieri
Oltre la montagna lo stesso sole
Con la testa sopra il mio cuscino di gambe
curiosa mi domandavi ripetendo: E poi
E poi, e poi ma cosa mai vuoi
che Io ti dica di più
Donna mia
Fotogramma di sorrisi e un pizzico di follia
Amore già sublimato via

Rotolando nei meandri del giorno
Strattonato dalla luce
Frettolosa
Dei pomeriggi d'inverno
Un ruscello di pietra guarda giù
Non vede e tacito insiste e illuso reclama
Ma l'acqua pura di ieri, di qui
più non passerà. Ed Io

Vorrei avere il dono di viaggiare nel tempo
Tappeto volante per dove ho già dato…